Sâu mới "đào bới" lỗ hổng Windows

Một loại sâu mới có tên Win32/Conficker.A đang phát tán khá mạnh trong mạng lưới các máy tính cài đặt hệ điều hành Windows, khoan sâu vào một lỗ hổng bảo mật mà Microsoft đã từng vá lại trong Bản tin bảo mật tháng 10.

Theo thông báo phát đi từ gã khổng lồ phần mềm, số lượng các vụ tấn công đã tăng nhanh trong vòng vài ba ngày trở lại đây.

Tất cả đều nhắm vào một lỗ hổng được xếp vào loại cực kỳ nghiêm trọng (critical) mà vốn dĩ, đã được xử lý xong trong bản tin MS08-067.

Sâu Conficker.A chủ yếu lây lan bên trong các mạng doanh nghiệp, song nó cũng kịp tấn công hàng trăm máy tính gia đình, Microsoft cho biết trên trang Blog của Trung tâm Phòng chống Malware.

Loại sâu này mở ra một cổng bất kỳ trong số các cổng từ 1024 đến 10000 và vận hành như thể một máy chủ Web.

Nó phát tán một cách ngẫu nhiên tới các máy tính trong mạng bằng cách khai thác lỗ hổng MS08-067.

Một khi máy tính đã bị khoan thủng, nó sẽ tự động download bản sao của sâu về qua đường HTTP, dựa trên cổng ngẫu nhiên đã được sâu mở sẵn từ trước.

Cơ chế

Nguồn: Security Labs
Conficker.A thường sử dụng một file có đuôi .JPG khi nhân bản, sau đó nó lưu vào thư mục "Local system" dưới cái tên dll.

"Một điểm cũng cần lưu ý là Conficker.A sẽ vá lại lỗ hổng API bên trong bộ nhớ, khiến cho máy tính trở nên an toàn hơn.

Không phải là vì hacker "quan tâm" đến máy tính của bạn, mà chẳng qua, hắn chỉ muốn an tâm rằng sẽ không một malware nào khác chiếm dụng được máy tính mà thôi
", Micrsoft nói thêm.

Hầu hết máy tính bị nhiễm sâu đều đặt tại Mỹ. Song Microsoft cũng đã nhận được báo cáo từ Đức, Tây Ban Nha, Pháp, Ý, Đài Loan, Nhật Bản, Brazil, Thổ Nhĩ Kỳ, Trung Quốc, Mexico, Canada, Argentina và Chile.

Tuy nhiên không hiểu vì lý do gì mà sâu Conficker.A luôn tránh lây lan bên trong các máy tính của Ukraina, Microsoft cho biết.

Ngoài sâu Conficker.A, lỗ hổng nói trên cũng đang bị một malware khác có tên Backdoor: Win32/IRCbot.BH tấn công.

Malware này sẽ thả một trojan cửa sau vào máy tính, để trojan này kết nối với máy chủ IRC từ xa và nhận lệnh từ hacker.
Thứ Năm, 27/11/2008 12:41
32 👨 1.416